Quali sono le implicazioni di avere due sottoreti sullo stesso switch?

Qualcuno può dirmi quali sarebbero alcune delle implicazioni di avere due diverse sottoreti sullo stesso switch se le VLAN non fossero utilizzate?

Le cose funzioneranno più o meno come ti aspetteresti. Al centro di ciò, stanno solo condividendo un dominio di trasmissione. I computer nelle diverse sottoreti non effettueranno l'ARP attraverso la sottorete, quindi avranno ancora bisogno di un router (o entità layer 3 incorporata nello switch) per "dialogare" tra loro.

Poiché condividono un dominio di trasmissione, l'isolamento è molto inferiore (probabilmente, nessuno) rispetto a quando si utilizzavano VLAN. Sarebbe facile per ARP e MAC spoof host in entrambe le sottoreti da entrambe le sottoreti.

Se lo stai facendo in uno scenario di laboratorio, probabilmente va bene. Se hai davvero bisogno di isolamento, tuttavia, nella distribuzione di produzione, dovresti usare VLAN o switch fisici separati.

Se non usi le VLAN, una persona potrebbe facilmente aggiungere 2 IP alla sua interfaccia 192.182.0.1/24e in 172.16.0.1/24modo che possa accedere ad entrambe le reti.

Utilizzando le VLAN è possibile taggare gli switchport in modo che qualsiasi computer configurato per ricevere solo traffico dalla VLAN non sia in grado di ottenere alcun traffico (tranne quello indirizzato ad esso e con la VLAN corretta) indipendentemente da come è configurata l'interfaccia locale ( quanti IP ci sono nell'interfaccia).

In sostanza:

• se ti fidi dei tuoi utenti non c'è motivo di usare le VLAN (dal punto di vista della sicurezza).
• se non ti fidi dei tuoi utenti, le VLAN manterranno separati determinati gruppi di utenti

Innanzitutto, non sono sicuro del motivo per cui lo faresti per gli utenti. L'unico scenario a cui riesco a pensare è che sei fuori dagli IP nella sottorete dell'utente corrente e non puoi estendere facilmente la sottorete corrente. In questo caso penso che andrebbe bene aggiungere un'altra sottorete. La cosa di spoofing diventa un problema quando si utilizzano gli IP in questo modo perché entrambe le sottoreti sono uguali, quindi si ha lo stesso rischio di spoofing se si utilizza una singola sottorete o più. Una domanda che ho qui è come funzionerebbe DHCP. Se i tuoi ambiti DHCP non sono contigui e il server DHCP serve IP in base all'indirizzo "helper" del router, tutte le richieste non andrebbero a un ambito o all'altro? Suppongo che questo potrebbe diventare un problema se il tuo server DHCP si trova direttamente nel dominio di trasmissione, ma è ancora qualcosa da esplorare.

Detto questo, in realtà lo faccio in produzione per una delle mie app. Ho un'app che ha silos geograficamente diversi, ogni silo ha il suo / 27. Questi IP sono quelli che considero essere IP dell'infrastruttura. Appartengono a quei server. Quindi instrado un ulteriore / 29 allo stesso dominio di trasmissione. Questa sottorete appartiene all'applicazione. Al prossimo aggiornamento dell'hardware, costruirò un silo completamente nuovo con un nuovo / 27, quindi cambierò il percorso dell'applicazione / 29 su di esso. Poiché this / 29 gestisce la comunicazione con gli elementi di rete, ciò mi consente di non dover riprogrammare tutti i NE se otteniamo nuovo hardware o nuovo software e l'utilizzo dello stesso dominio di trasmissione mi consente di farlo senza una scheda di interfaccia di rete dedicata.

1. se si dispone di utenti non attendibili, alcuni potrebbero falsificare gli indirizzi IP di quelli di altre sottoreti. se ci sono alcune regole di indirizzo, potrebbero ignorarle. alcuni utenti della sottorete1 potrebbero falsificare l'indirizzo del router nella rete b - e intercettare [almeno parte della] comunicazione.
2. avrai più trasmissioni "spazzatura" [pacchetti arp] - ma questo non dovrebbe essere un problema se hai poche dozzine di utenti e un collegamento da 100 o 1000 Mbit / s.

Lo abbiamo implementato nella nostra scuola perché eravamo a corto di indirizzi IP e abbiamo fornito una nuova sottorete alla sezione wireless, funziona bene su una rete di 3000 utenti, per una soluzione rapida è un vantaggio, sono d'accordo che dobbiamo creare vlans per poter preservare la sicurezza.

Il server DHCP (Windows) deve avere due schede nic collegate allo stesso switch (il nostro è virtuale, quindi non importa) per distribuire ips alla rete wireless, dovrai usare gli IP statici sulla "vecchia rete" , non funzionerà con due ambiti DHCP sullo stesso switch.

Ho appena trascorso un paio d'anni cercando di risolvere un problema sia con un sistema telefonico poe che con una rete di computer sullo stesso switch gestito. Sì, dovrebbe funzionare senza una VLAN ma ogni mese circa e così non ripristinerebbe lo switch, causando problemi infiniti con le apparecchiature collegate. (ripristini del sistema telefonico, ripristini del router e ripristini casuali dello switch) Questo è stato un incubo per noi perché stavamo cercando un problema hardware poiché la maggior parte accetta che uno switch sia in grado di gestirlo. Un interruttore stupido forse, ma un interruttore gestito no. Ho provato diversi produttori principali e si sarebbero tutti resettati casualmente entro un mese :(

SEMPRE VLAN SEMPRE!